Cómo detectar ataques de phishing y adversario-en-el-medio más allá del MFA
Durante una prueba con Darktrace, el sistema ha detectado un ataque de adversario en el medio o AiTM, el cual vulneró una cuenta de Office 365 mediante phishing de compromiso de correo empresarial o BEC. Luego de la brecha, la cuenta se utilizó para lanzar campañas de phishing tanto internas como externas.
Los ataques Adversary-in-the-Middle o AiTM (Adversario en el Medio) son avanzadas técnicas vinculadas a campañas de phishing para robar credenciales. A diferencia del phishing tradicional, que la autenticación multifactor o MFA neutraliza con éxito, los ataques AiTM utilizan servidores proxy inversos para interceptar tokens de autenticación y cookies de sesión.
Esto ha permitido a los atacantes evadir el MFA por completo y secuestrar sesiones activas, manteniendo acceso sigiloso sin que se requiera nuevos inicios de sesión. Los expertos examinan un incidente real detectado durante una prueba, destacando como las defensas identificaron el compromiso emergente en el entorno de correo y software como servicio o SaaS, en donde rastrearon su avance y habrían intervenido en momentos críticos para contener amenazas si la respuesta automática estuviese activa.
¿Cómo es un ataque de adversario en el medio? Estos ataques suelen iniciar con un correo de phishing, el cual proviene de una cuenta comprometida de un contacto conocido; un proveedor, por ejemplo. Estos correos tienen la costumbre de contener enlaces maliciosos o archivos adjuntos que dirigen a sitios de inicio de sesión falsos, diseñados para suplantar plataformas legítimas, como Microsoft 365, con el fin de recolectar credenciales de usuario.
Cuando un usuario hace clic en un enlace malicioso, es redirigido por medio de un proxy controlado por el atacante que suplanta servicios legítimos. Este proxy reenvía solicitudes de acceso a Microsoft, haciendo que la página parezca real. Después de completar el MFA con éxito, el ciberdelincuente captura credenciales y tokens de sesión, permitiendo la toma total de la cuenta sin necesidad de autenticarse de nuevo.
Los ataques de phishing van en aumento en las empresas, debido a múltiples factores, los cuales ponen en peligro los procesos y la reputación de las organizaciones. Por ello, TIC Defense cuenta con un conjunto de productos y soluciones de alta tecnología que se enfoca en dar respuesta rápida y en prevenir situaciones como las cuentas comprometidas por el phishing.
Una vez dentro, los cibercriminales suelen establecer persistencia, mediante la creación de reglas de correo o registrando aplicaciones que no necesitan autenticación. Desde este punto, ejecutan sus objetivos, exfiltrando datos sensibles y lanzando campañas adicionales de compromiso de correo.
Estas campañas pueden incluir solicitudes de pago fraudulentas a contactos externos o phishing interno, el cual ha sido diseñado para vulnerar más cuentas y permitir el movimiento lateral en la compañía.
A finales del año pasado, múltiples defensas detectaron un ejemplo de ataque AiTM en la red de un cliente que probaba Darktrace. En este caso, el primer indicador de compromiso que ha sido observado fue la creación de una regla de correo maliciosa en una cuenta de Office 365, lo que sugiere que la cuenta probablemente ya estaba comprometida antes de implementar dichas reglas.
La cuenta comprometida envió correos electrónicos acerca de información de pago a más de 9 mil destinatarios externos en solo una hora. Las defensas identificaron que dichos correos incluían un enlace a un endpoint inusual de Google Drive, bajo el texto “descargar pedido y factura”.
